1

BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Một số vấn đề chung về ứng cứu khẩn cấp sự cố an toàn thông tin
và yêu cầu đặt ra đối với ngành Bảo hiểm xã hội Việt Nam
Người thực hiện: Mao Sơn Thành

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

1


2
Hà Nội - 2021

2


BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Một số vấn đề chung về ứng cứu khẩn cấp sự cố an toàn thông tin
và yêu cầu đặt ra đối với ngành Bảo hiểm xã hội Việt Nam

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2021
3


MỤC LỤC

Danh mục từ viết tắt
TT
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

16
17
18

Danh mục
An tồn thơng tin
Ứng cứu khẩn cấp
Bảo hiểm xã hội
Bảo hiểm y tế
Bảo hiểm thất nghiệp
Công nghệ thông tin
Cơ sở dữ liệu
Công nghệ thông tin
Công nghệ thông tin và truyền thông

Chữ viết tắt, rút gọn
ATTT
ƯCKC
BHXH
BHYT
BHTN
CNTT
CSDL
CNTT
CNTT &TT

Phần mở đầu
1. Sự cần thiết
Trong bối cảnh các cuộc tấn công mạng ngày càng gia tăng và phức tạp
trên thế giới cũng như ở Việt Nam, việc tăng cường năng lực cho đội ngũ kỹ

thuật chuyên trách về ứng cứu sự cố và nâng cao nhận thức cho xã hội về đảm
bảo ATTT mạng luôn được mọi quốc gia, mọi tổ chức, doanh nghiệp chú trọng.
tình hình ATTT trên thế giới nói chung và Việt Nam nói riêng diễn biến rất phức
tạp. Các hình thức tấn cơng có chủ đích APT, mã độc gián điệp, mạng botnet,
DDoS, Deface, Phishing… .đang ngày càng tinh vi, phức tạp và khó lường.
4


Hiện nay đã xuất hiện nhiều tấn cơng mạng có chủ đích nhằm vào các cơ
quan chính phủ, các hệ thống tài chính ngân hàng, các hạ tầng thơng tin trọng
yếu, các website của các cơ quan, tổ chức, doanh nghiệp của Việt Nam, trong đó
có một số vụ đã được công khai trên các phương tiện thông tin đại chúng như:
vụ tấn công vào hệ thống của Vietnam Airlines, Vietnamworks, VOV, tấn công
vào một số ngân hàng thương mại của Việt Nam, hay sự cố của một số website
của doanh nghiệp cung cấp dịch vụ trực tuyến thời gian qua.
Bên cạnh đó, mã độc tống tiền Ransomware hiện đang gia tăng phức tạp;
xu hướng tấn công vào các thiết bị IoT như hệ thống camera, smart đang ngày
càng nhiều; xu hướng sử dụng các mạng xã hội để phát tán mã độc, lừa đảo đảo
trúng thưởng, mạo danh và đánh cắp thông tin cũng đang gia tăng rất đáng ngại.
Tình hình an ninh mạng tại Việt Nam và trên thế giới đang diễn biến phức
tạp, ngày càng có nhiều cuộc tấn công vào các hệ thống CNTT quan trọng của
các doanh nghiệp, tổ chức và chính phủ. Một sự cố mất ATTT khi xảy ra mà
không được xử lý đúng cách và kịp thời có thể để lại những hậu quả khôn lường,
dẫn tới sự phá hủy dữ liệu hoặc làm sụp đổ hệ thống hạ tầng CNTT.
Trong những năm gần đây, CNTT &TT có vai trị lớn đối với sự phát triển
của mỗi quốc gia, mỗi doanh nghiệp. Ứng dụng CNTT &TT cũng có tác động
khơng nhỏ đến đời sống kinh tế, xã hội của đại bộ phận người dân trên thế giới.
CNTT&TT cũng góp phần quan trọng trong vấn đề an ninh và phát triển bền
vững của mỗi quốc gia. Do vậy, ứng dụng CNTT&TT trở thành một phần không
thể thiếu trong chiến lược phát triển của các doanh nghiệp và các quốc gia trên

thế giới.
Với tốc độ phát triển và ứng dụng của CNTT&TT ngày càng nhanh như
hiện nay, hàng ngày có một lượng thơng tin lớn được lưu trữ, chuyển tải thông
qua các hệ thống thông tin cũng kéo theo nhiều rủi ro về sự mất ATTT.
Thiệt hại do mất an ninh an toàn trên các hệ thống thông tin đã tăng rất
nhanh và sẽ ảnh hưởng nghiêm trọng đến sự phát triển kinh tế - xã hội, nếu công
tác đảm bảo an ninh an tồn khơng được triển khai đúng mức. Bởi các kỹ thuật
5


của tội phạm mạng ngày càng cao và tinh vi hơn, số lượng điểm yếu an ninh
ngày càng tăng, số vụ xâm phạm an tồn mạng ngày càng nhiều.
Tấn cơng mạng vào các hệ thống thông tin ngày càng trở lên nghiêm
trọng. Vì vậy, việc nghiên cứu các giải pháp đảm bảo an ninh an tồn cho các hệ
thống thơng tin là rất cần thiết. Để đảm bảo các hệ thống thông tin hoạt động ổn
định, bảo đảm an ninh an tồn thơng tin là việc làm rất cần thiết. Giải quyết vấn
đề an ninh an toàn của hệ thống thông tin là việc làm của cả xã hội và là vấn đề
cấp bách. Khi xảy ra sự cố mất an tồn thơng tin nếu khơng được xử lý hoặc xử
lý khơng đúng cách có thể để lại những hậu quả to lớn khơng chỉ là rị rỉ dữ liệu,
thiệt hại tài chính… mà cịn ảnh hưởng tới uy tín, hình ảnh của tổ chức.
Cùng sự phát triển CNTT, các nguy cơ về lộ lọt mất ATTT ngày càng
tăng, các hình thức tấn cơng trên mạng ngày càng đa dạng, tinh vi và nguy hiểm.
Nhận thức vấn đề này, BHXH Việt Nam luôn xem việc đảm bảo ATTT là ưu tiên
hàng đầu trong phát triển, ứng dụng CNTT và triển khai chính quyền điện tử.
Vì vậy, nhóm nghiên cứu đã lựa chọn chuyên đề “Một số vấn đề chung
về ứng cứu khẩn cấp sự cố an tồn thơng tin và yêu cầu đặt ra đối với
ngành Bảo hiểm xã hội Việt Nam ” làm chuyên đề nghiên cứu.
Chuyên đề này là một nhánh nghiên cứu của Đề tài “Xây dựng hệ thống
quy trình ứng cứu khẩn cấp sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt
Nam” do ông Lê Vũ Toàn làm chủ nhiệm.

2. Mục tiêu nghiên cứu
- Nghiên cứu lý thuyết, quy định pháp luật về ứng cứu khẩn cấp sự cố an tồn
thơng tin;
- Phân loại, phân nhóm các sự cố an tồn thơng tin từ đó định hướng xây dựng
quy trình ứng cứu cho từng nhóm các sự cố, đồng thời làm rõ trách nhiệm của
BHXH Việt Nam và các đơn vị trực thuộc trong thực hiện ứng cứu khẩn cấp sự
cố ATTT.
- Nghiên cứu, làm rõ một số khái niệm, một số vấn đề chung liên quan đến ATTT,
ứng cứu khẩn cấp sự cố ATTT.
6


- Phân tích, làm rõ các yêu cầu, trách nhiệm, nghĩa vụ của tổ chức, cá nhân thuộc
BHXH Việt Nam và các đơn vị liên quan trong thực hiện ứng cứu khẩn cấp sự
cố ATTT.
3. Đối tượng và phạm vi nghiên cứu
- Các văn bản pháp luật của nhà nước, các văn bản của BHXH Việt Nam, các bài
báo về công tác ứng cứu sự cố và đảm bảo An tồn thơng tin.
- Tới cơ quan, tổ chức, cá nhân Việt Nam, tổ chức, cá nhân nước ngoài trực tiếp
tham gia hoặc có liên quan đến hoạt động an tồn thông tin mạng tại BHXH Việt
Nam.
4. Cách tiếp cận và phương pháp nghiên cứu
- Phương pháp mô tả: tổng quan tài liệu, tổng hợp phân tích tài liệu
- Nghiên cứu, phân tích lý thuyết về đảm bảo an tồn thơng tin và ứng cứu sự cố
an tồn thơng tin làm cơ sở cho việc xây dựng quy trình ứng cứu khẩn cấp sự cố
an tồn thơng tin Ngành BHXH Việt Nam.
5. Kết cấu chuyên đề
Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ
thể như sau:
Chương 1. Một số vấn đề chung về ứng cứu khẩn cấp sự cố an tồn thơng

tin.
Chương 2. Quy định pháp luật về ứng cứu khẩn cấp sự cố an tồn thơng
tin.
Chương 3. Trách nhiệm của Bảo hiểm xã hội Việt Nam trong ứng cứu
khẩn cấp sự cố an toàn thông tin.

7


8

Chương 1. Một số vấn đề chung về ứng cứu khẩn cấp sự cố an tồn thơng
tin
1.1. Một số khái niệm
1.1.1. An toàn thông tin
Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu
được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý,
lưu trữ và trao đổi thông tin trên mạng.
ATTT là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực rộng
lớn. Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn sự
truy cập, phá hoại, sửa đổi, sử dụng, tiết lộ,…một cách trái phép nhằm đảm
bảo cho các hệ thống thông tin thực hiện đúng chức năng, phục vụ đúng đối
tượng một cách sẵn sàng, chính xác và tin cậy. ATTT là việc bảo vệ chống
truy nhập (access), sử dụng (use), tiết lộ (disclose), sửa đổi (modify), hoặc
phá hủy (destroy) thông tin một cách trái phép (unauthorised).
ATTT mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh
bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm
bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thơng tin.
-


Tính bí mật “confidentiality”: là đảm bảo thông tin chỉ được truy xuất bởi

những đối tượng được cấp quyền.
- Tính tồn vẹn “Integrity”: là đảm bảo thơng tin không bị sửa đổi, hủy bỏ khi
không được phép. Nếu thơng tin bị thay đổi thì bên nhận phải phát hiện ra.
- Tính sẵn sàng “Availability”: cho phép thơng tin được sử dụng một cách kịp
thời và đáng tin cậy.
Theo Nghị định 64-2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng
dụng CNTT trong hoạt động của cơ quan nhà nước: “An tồn thơng tin là an
tồn kỹ thuật cho các hoạt động của các cơ sở hạ tầng thông tin, trong đó bao
gồm an tồn phần cứng và phần mềm theo các tiêu chuẩn kỹ thuật do Nhà
nước ban hành; duy trì các tính chất bí mật, tồn vẹn, sẵn sàng của thông tin
8


9
trong lưu trữ, xử lý và truyền dẫn trên mạng”. Luật An tồn thơng tin mạng
được ban hành năm 2015 đã thể chế hóa các chủ trương, đường lối, chính
sách của Đảng và Nhà nước về an tồn thơng tin, đáp ứng yêu cầu phát triển
bền vững kinh tế - xã hội, bảo vệ thông tin và hệ thống thông tin, góp phần
bảo đảm quốc phịng, an ninh, chủ quyền và lợi ích quốc gia trên khơng gian
mạng. Theo đó: “An tồn thơng tin mạng là sự bảo vệ thơng tin, hệ thống
thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi
hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính
khả dụng của thơng tin”.
Sự ra đời của Luật An ninh mạng là bước đột phá trong lịch sử lập pháp
của Việt Nam, đảm bảo quyền và nghĩa vụ cơng dân trên khơng gian mạng.
Theo đó: “An ninh mạng là sự bảo đảm hoạt động trên không gian mạng
không gây phương hại đến an ninh quốc gia, trật tự, an tồn xã hội, quyền và
lợi ích hợp pháp của cơ quan, tổ chức, cá nhân”.

1.1.2. Sự cố an toàn thơng tin
Sự cố an tồn thơng tin (information security incident): Một hoặc một
loạt các sự kiện an tồn thơng tin khơng mong muốn hoặc khơng dự tính có
khả năng ảnh hưởng đáng kể các đến hoạt động nghiệp vụ và đe dọa an tồn
thơng tin.
Một số khái niệm về ứng cứu sự cố an tồn thơng tin:
a. Sự cố an tồn thơng tin mạng là việc thơng tin, hệ thống thông tin bị tấn công
hoặc gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả
dụng (sau đây gọi tắt là sự cố).
b. Ứng cứu sự cố an tồn thơng tin mạng là hoạt động nhằm xử lý, khắc phục sự
cố gây mất an toàn thơng tin mạng gồm: theo dõi, thu thập, phân tích, phát
hiện, cảnh báo, điều tra, xác minh sự cố, ngăn chặn sự cố, khôi phục dữ liệu
và khôi phục hoạt động bình thường của hệ thống thơng tin.

9


10
c. Sự cố an tồn thơng tin mạng nghiêm trọng là sự cố đáp ứng đồng thời các
tiêu chí tại Quyết định 05/2017/QĐ-TTg.
d. Sự cố an tồn thơng tin mạng thông thường là những sự cố không phải sự cố
an tồn thơng tin mạng nghiêm trọng.
e. Đầu mối ứng cứu sự cố là bộ phận hoặc cá nhân được thành viên mạng lưới
ứng cứu sự cố an tồn thơng tin mạng quốc gia cử để thay mặt cho thành viên
liên lạc và trao đổi thông tin với Cơ quan điều phối quốc gia về ứng cứu sự cố
hoặc các thành viên khác trong hoạt động điều phối, ứng cứu sự cố.
1.1.3. Ứng cứu khẩn cấp sự cố an toàn thông tin
Ứng cứu sự cố an toàn thông tin là hoạt động nhằm xử lý, khắc
phục sự cố gây mất an tồn thơng tin mạng gồm: theo dõi, thu thập, phân tích,
phát hiện, cảnh báo, điều tra, xác minh sự cố, ngăn chặn sự cố, khôi phục dữ

liệu và khôi phục hoạt động bình thường của hệ thống thơng tin.
Ứng cứu khẩn cấp bảo đảm an toàn thông tin là hoạt động ứng cứu sự
cố trong tình huống xảy ra sự cố nghiêm trọng, tình huống thảm họa, hoặc
theo yêu cầu của cơ quan nhà nước có thẩm quyền nhằm bảo đảm an tồn
thơng tin.
Quy định chung về ứng cứu sự cố an tồn thơng tin thơng thường được
quy định tại Quyết định số 05/2017/QĐ-TTg ngày 16/03/2017 về việc quy
định điều phối, ứng cứu sự cố an tồn thơng tin mạng trên tồn quốc. Thơng
tư số 20/2017/TT-BTTTT ngày 12/09/2017 quy định về điều phối, ứng cứu sự
cố an tồn thơng tin mạng trên toàn quốc đã xác định phân cấp tổ chức thực
hiện ứng cứu sự cố bảo đảm an toàn thơng tin mạng trên tồn quốc và phương
án ứng cứu các sự cố. Căn cứ vào quyết định này, có thể xác định được phạm
vi áp dụng, xây dựng quy trình chung cho ứng cứu sự cố thơng thường.
Quy định phân cấp tổ chức thực hiện ứng cứu sự cố bảo đảm an tồn
thơng tin mạng được quy định từ Điều 3 đến Điều 8 Quyết định số
05/2017/QĐ-TTg.
10


11
Quy định phương án ứng cứu sự cố bảo đảm an tồn thơng tin mạng
được quy định từ Điều 9 đến Điều 14 Quyết định số 05/2017/QĐ-TTg. Theo
đó, phương án thực hiện ứng cứu sự cố đảm bảo an toàn thơng tin bao gồm
những nội dung
a. Phân nhóm sự cố an tồn thơng tin
b. Hệ thống phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc
gia.
c. Báo cáo sự cố an tồn thơng tin mạng
d. Tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an tồn thơng tin mạng.
e. Quy trình ứng cứu sự cố an tồn thơng tin mạng nghiêm trọng

1.2. Đặc điểm của ứng cứu khẩn cấp sự cố an tồn thơng tin
Ứng cứu sự cố là một loạt các hành động, việc làm nhằm xử lý, giảm
thiểu, hoặc khắc phục những hậu quả khi sự cố đã xảy ra. Đối với mỗi hệ
thống thơng tin, chương trình, ứng dụng, cần xây dựng tình huống, kịch bản
sự cố cụ thể và đưa ra phương án đối phó, ứng cứu sự cố tương ứng. Trong
phương án đối phó, ứng cứu phải đặt ra được các tiêu chí, quy trình xử lý để
có thể nhanh chóng xác định được tính chất, mức độ nghiêm trọng của sự cố
khi sự cố xảy ra. Việc xây dựng phương án đối phó, ứng cứu sự cố cần đảm
bảo các nội dung sau:
1.2.1. Phương pháp, cách thức để xác định nhanh chóng, kịp thời
nguyên nhân, nguồn gớc sự cớ nhằm áp dụng phương án đới phó, ứng cứu,
khắc phục sự cố phù hợp
- Sự cố do bị tấn công mạng;
- Sự cố do lỗi của hệ thống, thiết bị, phần mềm, hạ tầng kỹ thuật hoặc
do lỗi đường điện, đường truyền, hosting...;
- Sự cố do lỗi của người quản trị, vận hành hệ thống;
11


12
- Sự cố liên quan đến các thảm họa tự nhiên như bão, lụt, động đất, hỏa
hoạn v.v...
1.2.2. Phương án đới phó, ứng cứu, khắc phục sự cớ đới với một hoặc
nhiều tình huống
- Tình huống sự cố do bị tấn công mạng:
+ Tấn công từ chối dịch vụ;
+ Tấn công giả mạo;
+ Tấn công sử dụng mã độc;
+ Tấn công truy cập trái phép, chiếm quyền điều khiển;
+ Tấn cơng thay đổi giao diện;

+ Tấn cơng mã hóa phần mềm, dữ liệu, thiết bị;
+ Tấn công phá hoại thông tin, dữ liệu, phần mềm;
+ Tấn công nghe trộm, gián điệp, lấy cắp thông tin, dữ liệu;
+ Tấn công tổng hợp sử dụng kết hợp nhiều hình thức;
+ Các hình thức tấn công mạng khác.
- Tình huống sự cố do lỗi của hệ thống, thiết bị, phần mềm, hạ tầng kỹ
thuật:
+ Sự cố nguồn điện;
+ Sự cố đường kết nối Internet; WAN ( Đường truyền)
12


13
+ Sự cố do lỗi phần mềm, phần cứng, ứng dụng của hệ thống thông tin;
+ Sự cố liên quan đến quá tải hệ thống;
+ Sự cố khác do lỗi của hệ thống, thiết bị, phần mềm, hạ tầng kỹ thuật.
- Tình huống sự cố do lỗi của người quản trị, vận hành hệ thống:
+ Lỗi trong cập nhật, thay đổi, cấu hình phần cứng;
+ Lỗi trong cập nhật, thay đổi, cấu hình phần mềm;
+ Lỗi liên quan đến chính sách và thủ tục ATTT;
+ Lỗi liên quan đến việc dừng dịch vụ vì lý do bắt buộc;
+ Lỗi khác liên quan đến người quản trị, vận hành hệ thống.
- Tình huống sự cố liên quan đến các thảm họa tự nhiên như bão, lụt,
động đất, hỏa hoạn v.v....
1.2.3. Quy trình ứng cứu sự cớ
Hiện nay, có hai quy trình ứng cứu sự cố được coi là tiêu chuẩn của
toàn thế giới là của Học viện SANS và Viện Tiêu chuẩn và Kỹ thuật quốc gia
Hoa Kỳ (NIST). Chuyên đề này sẽ giới thiệu đơi nét về quy trình ứng cứu sự
cố của Học viện SANS.
Giới thiệu quy trình ứng cứu sự cố SANS

SANS là viết tắt của cụm từ “SysAdmin, Audit, Network and Security”.
Học viện SANS là một tổ chức tư nhân tại Mỹ, chuyên về bảo mật thông tin,
đào tạo an ninh mạng và cung cấp các chứng chỉ liên quan. Quy trình ứng cứu
sự cố của SANS gồm 06 giai đoạn riêng biệt: Chuẩn bị, xác định, ngăn chặn,
loại bỏ, phục hồi và rút ra bài học.
13


14

Hình 1: Quy trình ứng cứu sự cố của Học viện SANS
Giai đoạn 1 - Chuẩn bị
Trong giai đoạn chuẩn bị, các tài nguyên có trong tổ chức được dự trù
trước để khi xảy ra sự cố có thể xử lý ngay lập tức. Học viện SANS liệt kê
một số tiêu chí quan trọng cần chuẩn bị như: cần có chính sách rõ ràng, xây
dựng sẵn các kịch bản kế hoạch ứng cứu, danh sách liên lạc khi cần thiết,
thành lập đội ứng cứu, chuẩn bị sẵn các công cụ thường dùng.
Giai đoạn 2 - Xác định
Giai đoạn này giúp xác định một sự kiện xảy ra có phải là sự cố hay
không và phạm vi ảnh hưởng của sự việc đến đâu. Để đưa ra nhận định chính
xác, thơng tin xử lý cần dựa vào nhiều nguồn khác nhau như: nhật ký sự kiện
(event log), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS,
IPS... Nếu sự cố thực sự xảy ra, đội ứng cứu cần nhanh chóng xác định vùng
xảy ra sự cố để thực hiện công tác ứng cứu.
Giai đoạn 3 - Ngăn chặn
Mục đích chính của giai đoạn này là hạn chế thiệt hại và ngăn chặn các
thiệt hại phát sinh thêm. Hành động ngăn chặn có hai loại là ngắn hạn và dài
14



15
hạn. Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn
sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Ngăn chặn dài hạn là
khắc phục được những điểm yếu tồn tại trong hệ thống để những sự cố tương
tự không xảy ra trong tương lai.
Giai đoạn 4 - Loại bỏ
Trong giai đoạn này, tất cả các thành phần không mong muốn đã gây ra
sự cố sẽ bị loại bỏ. Các hành động bao gồm: loại bỏ tất cả mã độc, thay đổi
mật khẩu, xóa tài khoản độc hại. Giai đoạn này cũng cần cải thiện khả năng
phịng thủ sau khi đã tìm được nguyên nhân gây ra sự cố và đảm bảo rằng hệ
thống khơng bị xâm phạm (ví dụ: cài đặt các bản vá bảo mật để khắc phục các
lỗ hổng đã bị tin tặc tấn công khai thác…).
Giai đoạn 5 - Phục hồi
Mục đích của giai đoạn này là đưa hệ thống bị ảnh hưởng trở lại trạng thái
hoạt động bình thường. Cần theo dõi, giám sát để đảm bảo hệ thống hoạt động
ổn định và không bị xâm nhập trở lại. Một số việc cần thực hiện ở giai đoạn
này là: Thống nhất thời gian đưa hệ thống trở lại hoạt động bình thường;
Kiểm tra hệ thống đã an toàn và đầy đủ chức năng; Thực hiện theo dõi và
giám sát an toàn cho hệ thống sau khi đã hoạt động trở lại.
Giai đoạn 6 - Rút ra bài học kinh nghiệm
Mục đích của giai đoạn này là tổng hợp lại tất cả những gì đã diễn ra và
những việc đã làm thành báo cáo hoàn chỉnh. Báo cáo này gửi cho các bên
liên quan hoặc có thể tổ chức cuộc họp để rút ra các bài học kinh nghiệm sau
sự cố. Cuộc họp rút kinh nghiệm nên được thực hiện càng sớm càng tốt, thơng
thường là trong vịng 2 tuần sau khi sự cố xảy ra.
15


16
Q trình ứng cứu sự cố có thể gây căng thẳng cho những người tham

gia ứng cứu, vì khi đó sự cố thực sự đã xảy ra đồng nghĩa với việc người tham
gia ứng cứu đang đối mặt trực tiếp với mối đe dọa. Nếu có sự chuẩn bị từ
trước về con người, quy trình, vật dụng, trang thiết bị… thì khi đối mặt với
các tình huống căng thẳng, áp lực cao, mới có thể nhanh chóng ngăn chặn và
xử lý.
1.3. Vai trò của ứng cứu khẩn cấp sự cố an tồn thơng tin
Giám sát, phát hiện sớm nguy cơ, sự cố; kiểm tra, đánh giá ATTT mạng
và rà quét, bóc gỡ, phân tích, xử lý mã độc; phịng ngừa sự cố, quản lý rủi ro;
nghiên cứu, phân tích, xác minh, cảnh báo sự cố, rủi ro ATTT mạng, phần
mềm độc hại; xây dựng, áp dụng quy trình, quy định, tiêu chuẩn ATTT; tuyên
truyền, nâng cao nhận thức về nguy cơ, sự cố, tấn công mạng.
Ứng cứu sự cố an tồn thơng tin mạng phải tn thủ các ngun tắc sau
đây:
a) Kịp thời, nhanh chóng, chính xác, đồng bộ và hiệu quả;
b) Tuân thủ quy định của pháp luật về điều phối ứng cứu sự cố an tồn
thơng tin mạng;
c) Có sự phối hợp giữa cơ quan, tổ chức, doanh nghiệp trong nước và
nước ngồi.
Các hoạt động chính của ứng cứu sự cố (ƯCSC) Các hoạt động của
ƯCSC có thể phân theo 3 nhóm sau:

16


17
1.3.1. Các hoạt động phản ứng sự cố
Các hoạt động này phát sinh tuỳ theo Sự kiện hoặc yêu cầu như báo cáo
bị xâm nhập, lây nhiễm mã độc, lỗ hổng của ứng dụng, hoặc các thông tin từ
hệ thống phát hiện xâm nhập hoặc nhật ký log của hệ thống, ... Đây là các
hoạt động quan trọng của bất kỳ ƯCSC nào. Tuỳ theo điều kiện và nguồn

nhân lực hiện có mà ƯCSC phải đáp ứng một phần hoặc tất cả các công việc
bên dưới, gồm:
- Cảnh báo Sự cố: phổ biến thông tin mô tả về các tấn công, lỗ hổng
bảo mật, cảnh báo xâm nhập, mã độc, các chiêu trò lừa đảo và các khuyến
nghị giải quyết. Cảnh báo là phản ứng đối với vấn đề hiện tại để thông báo
cho đối tượng phục vụ thuộc tổ chức chủ quản hoặc tổ chức bên ngoài hướng
dẫn bảo vệ hoặc khôi phục hệ thống đã bị ảnh hưởng. Thơng tin này có thể do
ƯCSC tạo ra hoặc có thể được phân phối lại từ các nhà cung cấp, các ƯCSC
khác hoặc từ các chuyên gia bảo mật, từ các bộ phận khác.
- Xử lý Sự cố tại chỗ hoặc hỗ trợ xử lý từ xa: thực hiện gỡ bỏ - ngăn
chặn các nguy cơ và tấn công vào hệ thống bị Sự cố, khôi phục hệ thống,
đánh giá các tác động gây ra do sự cố, lập báo cáo xử lý – khắc phục. Trường
hợp ở xa, ƯCSC có thể cử thành viên đến nơi sự cố để xử lý hoặc hỗ trợ,
hướng dẫn cho nơi bị sự cố phục hồi qua điện thoại, email hoặc tài liệu hướng
dẫn để những người tại chỗ có thể thực hiện việc phục hồi Sự cố.
- Phân tích Sự cớ: là đánh giá các thông tin và bằng chứng hỗ trợ có
sẵn hoặc các hiện vật liên quan đến sự cố, sự kiện. Mục đích của phân tích là
để xác định phạm vi của vụ việc, mức độ thiệt hại gây ra do sự số, tính chất
vụ việc và cách giải quyết. ƯCSC có thể dùng kết quả phân tích lỗ hổng và
các công cụ sử dụng để hiểu và cung cấp các phân tích đầy đủ về những gì đã
xảy ra trên một hệ thống cụ thể. Hai hoạt động sau có thể thực hiện thêm như
17


18
là một phần của phân tích sự cố, tuỳ theo nhiệm vụ, mục tiêu, và quy trình của
Đội:
+ Thu thập bằng chứng điều tra số: thu thập, bảo quản, phân tích bằng
chứng từ hệ thống bị xâm nhập để xác định các thay đổi
+ Theo dõi hoặc truy tìm: truy tìm nguồn gốc của kẻ xâm nhập hoặc

xác định các hệ thống mà kẻ xâm nhập đã truy cập. Việc này cũng có thể liên
quan đến xác định danh tính của kẻ xâm nhập, có thể tự thực hiện bởi các
thành viên ƯCSC hoặc hợp tác với cơ quan pháp luật, nhà cung cấp dịch vụ
Internet hoặc các tổ chức có liên quan.
- Điều phới phản ứng Sự cớ: ƯCSC điều phối các hành động phản ứng
các bên có liên quan đến sự cố như nạn nhân của tấn công, các địa điểm khác
có liên quan đến tấn cơng, và các địa điểm yêu cầu hỗ trợ phân tích tấn cơng.
Điều phối cũng có thể liên quan đến các bên cung cấp hỗ trợ cho nạn nhân
như cácnhà cung cấp dịch vụ Internet, các ƯCSC khác; và các quản trị mạng,
quản trị hệ thống của điểm bị sự cố. Điều phối cũng có thể liên quan đến
thơng báo và hợp tác với cơ quan điều phối quốc gia, các cơ quan thực thi
pháp luật.
- Xử lý các lỗ hổng: theo dõi và cập nhật các lỗ hổng mới liên quan đến
hệ thống thơng tin đang vận hành, phân tích lỗ hổng, thử nghiệm đánh giá các
bản vá lỗi trước khi cập nhật chính thức lên hệ thống, sao lưu trước khi cập
nhật, tổ chức cập nhật các bản vá lỗi đảm bảo an tồn
- Phân tích, xử lý các phương tiện nhân tạo: khắc phục sự cố, gỡ bỏ các
phương tiện nhân tạo, phân tích để phát hiện hành vi và phương pháp hoạt
động, lây nhiễm. Cơng việc này có thể thuê một bên thứ ba độc lập để thực
hiện.
18


19
1.3.2. Các hoạt động ngăn ngừa sự cố
Các hoạt động này cung cấp các hỗ trợ và thông tin giúp cho việc chuẩn
bị, bảo vệ, và bảo mật các hệ thống công nghệ thông tin chống lại các tấn
công, các vấn đề hoặc các Sự kiện bảo mật, giúp giảm các Sự cố trong tương
lai. Đây là các hoạt động cần được thực hiện trước các hoạt động khắc phục
sự cố. ƯCSC có thể thực hiện một phần hoặc tất cả các hoạt động được liệt kê

bên dưới:
- Cấu hình và duy trì các cơng cụ, ứng dụng và hạ tầng bảo mật: cung
cấp các hướng dẫn về cách thức cấu hình an tồn và duy trì các cơng cụ, các
ứng dụng và hạ tầng cơng nghệ thơng tin. Ngồi ra, ƯCSC có thể thực hiện
cấu hình cập nhật và duy trì các cơng cụ và dịch vụ bảo mật, các hệ thống
máy chủ, các máy tính để bàn hoặc xách tay, các thiết bị cá nhân, ... đảm bảo
an toàn
- Giám sát để phát hiện Sự cố, sự kiện bảo mật: tổ chức các hoạt động
theo dõi, giám sát trên hệ thống bảo vệ an tồn hiện có, trang bị thêm các
công cụ nhằm phát hiện sớm những nguy cơ xâm nhập, tấn cơng mạng. Ở
những nơi có u cầu đảm bảo hệ thống thông tin phải hoạt động liên tục
24x7 cần phải xem xét việc tổ chức phương án giám sát tương ứng, bao gồm
giám sát hoạt động và giám sát bảo mật.
- Triển khai các biện pháp, giải pháp phát hiện xâm nhập: dựa trên nhật
ký của các thiết bị phát hiện xâm nhập IDS, thực hiện phân tích và cảnh báo
với các sự kiện chạm đến ngưỡng quy định, chuyển tiếp cảnh báo đến cá nhân
hoặc tổ chức có trách nhiệm để có các phản ứng phù hợp và kịp thời. Ở những
nơi có khối lượng nhật ký log lớn, cần phải có các cơng cụ chuyên biệt để
tổng hợp và biên dịch các thông tin.

19


20
- Đánh giá, kiểm tra an toàn của hệ thống công nghệ thông tin theo định
kỳ hoặc theo yêu cầu: xem xét và phân tích tính an tồn hạ tầng công nghệ
thông tin dựa theo các tiêu chuẩn hoặc các định nghĩa an toàn; xem xét việc
thực hiện đảm bảo an tồn của tổ chức. Cơng việc này có thể tự thực hiện
hoặc thuê một bên thứ ba độc lập thực hiện.
- Phát triển các công cụ bảo mật: thực hiện theo yêu cầu của đối tượng

phục vụ hoặc tự phát triển của ƯCSC, có thể là bản vá lỗi bảo mật cho các
phần mềm dùng riêng, các công cụ hoặc kịch bản phát triển để mở rộng chức
năng của các công cụ bảo mật hiện tại hoặc cơ chế ngăn chặn khai thác khi lỗ
hổng mới công bố chưa phát hành bản vá lỗi.
1.3.3. Các hoạt động tăng cường đảm bảo an toàn
Các hoạt động bổ sung này độc lập với các hoạt động phản ứng với Sự
cố và thường được các bộ phận khác như công nghệ thông tin, đảm bảo chất
lượng, đào tạo thực hiện. Tuy nhiên, nếu ƯCSC thực hiện hoặc hỗ trợ các
hoạt động này sẽ giúp cải thiện an toàn chung của tổ chức chủ quản và xác
định được các rủi ro, nguy cơ, và các điểm yếu của hệ thống. Các hoạt động
này đóng góp gián tiếp vào việc giảm số lượng sự cố.
- Phân tích, đánh giá các rủi ro mất an tồn thơng tin cho các hệ thống
cơng nghệ thống tin, các quy trình hoạt động hoặc đánh giá các nguy cơ trong
phạm vi của tổ chức chủ quản hoặc của đối tượng phục vụ để có các biện
pháp và giải pháp phù hợp;
- Xây dựng và triển khai kế hoạch duy trì hoạt động liên tục và khơi
phục thảm hoạ liên quan đến an tồn thơng tin của tổ chức chủ quản. Tổ chức
diễn tập kế hoạch định kỳ hàng năm để đảm bảo kế hoạch thực hiện được
trong trường hợp Sự cố nghiêm trọng hoặc thảm hoạ;
20


21
- Huấn luyện, đào tạo, hướng dẫn về đảm bảo an tồn thơng tin: tổ chức
các khố huấn luyện nâng cao nhận thức về đảm bảo an tồn thơng tin cho
toàn thể cán bộ, nhân viên trong toàn tổ chức chủ quản, hướng dẫn thực hiện
các hoạt động về đảm bảo an toàn cho nội bộ và cho các cá nhân trong tổ
chức, huấn luyện cho đội ngũ công nghệ thông tin của tổ chức chủ quản các
kỹ năng cơ bản về đảm bảo an toàn và khắc phục Sự cố đơn giản;
- Triển khai kế hoạch đào tạo duy trì và/hoặc nâng cao kỹ năng chun

mơn cho các thành viên ƯCSC;
- Tổ chức và/hoặc tham gia các diễn tập an tồn thơng tin: định kỳ tổ
chức các diễn tập đảm bảo an tồn thơng tin về ứng phó kỹ thuật, chính sách
trong các tình huống giả lập bị tấn cơng mạng, cử thành viên kỹ thuật – chính
sách của Đội tham gia các diễn tập an tồn thơng tin của quốc gia, khu vực
hoặc do các tổ chức ứng cứu sự cố tổ chức;
- Tư vấn về an toàn thông tin: cung cấp lời khuyên và hướng dẫn thực
hiện tốt nhất về an toàn cho nội bộ và cho các tổ chức bên ngồi nếu có u
cầu. Các tư vấn có thể là các yêu cầu khi mua sắm, cài đặt hoặc bảo mật các
hệ thống mới, các thiết bị mạng, các ứng dụng phần mềm, hoặc các quy trình
hoạt động của tổ chức, hướng dẫn và hỗ trợ xây dựng các chính sách bảo mật
của tổ chức.
1.4. Một số lưu ý trong công tác ứng cứu sự cố an tồn thơng tin
Khi xảy ra sự cố mất an tồn thơng tin nếu khơng được xử lý hoặc xử
lý khơng đúng cách có thể để lại những hậu quả to lớn khơng chỉ là rị rỉ dữ
liệu, thiệt hại tài chính… mà cịn ảnh hưởng tới uy tín, hình ảnh của tổ chức.
Chuyên đề này đưa ra một số lưu ý trong công tác ứng cứu sự cố an tồn
thơng tin mạng.
21


22
Làm tớt cơng tác ch̉n bị
Để ứng phó với sự cố ATTT kịp thời, hiệu quả, công tác chuẩn bị đóng
vai trị quan trọng trên các phương diện: con người, trang thiết bị và kế hoạch.
Về con người: Con người là một trong ba yếu tố quan trọng nhất trong
việc ứng cứu sự cố. Mỗi tổ chức cần có một đội ngũ chun trách đảm nhiệm
cơng việc này. Do đó, thành viên của đội ứng cứu sự cố cần được trang bị tốt
nhiều kỹ năng cần thiết để ứng biến với các tình huống phát sinh. Các kỹ năng
cơ bản phục vụ cho các hoạt động ứng cứu, xử lý sự cố gồm: kỹ năng cá nhân

(giao tiếp viết và nói, trình bày, ngoại giao, đối phó với căng thẳng, giữ bí
mật…), kỹ năng về trình độ kỹ thuật (khả năng lập trình, nguyên lý bảo mật,
giao thức mạng, phân tích sự cố…).
Bên cạnh đó, thành viên đội ứng cứu sự cố cũng cần đạt được các chứng
chỉ về ứng cứu sự cố như: EC-Council Certified Incident Handler (ECIH),
GIAC Certified Incident Handler (GCIH), Incident Handling & Response
Professional (IHRP)...
Về trang thiết bị: Cần chuẩn bị sẵn các công cụ, thiết bị phần cứng, phần
mềm để dễ dàng và nhanh chóng sử dụng cho việc ứng cứu sự cố khi cần. Các
công cụ có thể bao gồm: phần mềm chống mã độc, phần mềm điều tra số,
card mạng, dây mạng, ổ cứng di dộng, USB, ổ đĩa CD rời, máy tính xách
tay….
Về kế hoạch ứng cứu: Các tổ chức cần xây dựng sẵn các kịch bản nhằm
ứng cứu và xử lý các sự cố mất ATTT mạng có thể xảy ra. Kế hoạch ứng cứu
cần được xây dựng riêng cho từng loại sự cố khác nhau, vì mỗi sự cố khác
nhau cần có cách xử lý, ứng cứu khác nhau. Đối với những sự cố có tính chất
phức tạp, nằm ngồi khả năng xử lý thì cần tìm kiếm sự hỗ trợ của các cơ
quan chức năng, như: nhà cung cấp dịch vụ (ISP), Trung tâm Ứng cứu khẩn

22


23
cấp máy tính Việt Nam (VNCERT), Bộ Cơng an, Bộ Thông tin và Truyền
thông…
Bình tĩnh và tránh hoảng loạn
Khi sự cố nghiêm trọng xảy ra những người tham gia họat động ứng cứu
rất dễ gặp phải tình trạng căng thẳng dẫn đến hoảng loạn. Do đó, các thành
viên đội ứng cứu sự cố cần phải có khả năng nhận biết khi ai đó đang ở trạng
thái căng thẳng để có thể hỗ trợ kiểm sốt, duy trì sự bình tĩnh. Cần phân bổ

công việc phù hợp với chuyên môn của từng thành viên, tránh giao quá nhiều
việc cho một cá nhân nào đó dẫn đên sự ức chế trong quá trình xử lý sự cố.
Vai trị của người làm cơng tác điều phối là hết sức quan trọng khi sự cố xảy
ra. Điều phối tốt giúp việc xử lý sự cố hiệu quả hơn, tránh những căng thẳng
không mong muốn.
Xác định phạm vi ảnh hưởng của sự cố
Khi tiếp nhận thông tin về sự cố, người tham gia ứng cứu cần xem xét
các thông tin liên quan đến sự cố đó như: phạm vi ảnh hưởng, mức độ thiệt
hại, tác động gây ra bởi sự cố…. Từ đó, đưa ra một số việc cần ưu tiên làm
sớm nhất, tránh tác động tiêu cực lan rộng. Để xác định phạm vi ảnh hưởng
chính xác hơn, đội ứng cứu sự cố cần lưu ý một số thông tin quan trọng sau:
nhật ký sự kiện (event logs), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường
lửa, WAF, IDS, IPS…
Xác định những việc cần ưu tiên làm ngay
Mục đích chính của việc làm này là hạn chế thiệt hại và ngăn chặn bất kỳ
thiệt hại nào xảy ra thêm. Hành động ngăn chặn có thể chia thành ngắn hạn và
dài hạn.
Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn
sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Hành động ngăn chặn

23


24
ngắn hạn có thể gồm các hành động như cơ lập hệ thống bị ảnh hưởng hay
chặn địa chỉ IP trên các hệ thống an ninh.
Còn ngăn chặn dài hạn là hoạt động sau sự cố, các kế hoạch giúp nâng
cao khả năng bảo mật cho hệ thống.
Tránh làm mất dữ liệu và chứng cứ quan trọng
Mất dữ liệu và các chứng cứ liên quan đến sự cố là vấn đề rất nghiêm

trọng. Nó đồng nghĩa với việc tổ chức phải mất thêm thời gian và tiền bạc để
khắc phục sự cố, còn làm mất đi chứng cứ quan trọng thì tổ chức sẽ khơng có
cơ sở để điều tra, đưa sự việc ra pháp luật.
Có nhiều nguyên nhân dẫn đến mất dữ liệu, có thể trong q trình ứng
cứu xử lý sự cố người làm vơ tình xóa mất dữ liệu, dữ liệu mất do bị tin tặc
đánh cắp hay do hỏng thiết bị lưu trữ... Khi sự cố xảy ra, nhiều chứng cứ được
lưu vết lại trên máy tính, trong đó có những chứng cứ ở trạng thái rất dễ bị
mất nếu không biết xử lý đúng cách (như các chứng cứ được lưu trên RAM).
Do đó, trước khi bắt đầu thực hiện công việc ứng cứu sự cố thì việc sao lưu
dữ liệu và lưu trữ các chứng cứ là việc làm hết sức quan trọng.
Sự cố nếu được xử lý kịp thời và hiệu quả sẽ giúp giảm thiểu tối đa mức
độ thiệt hại cho tổ chức. Vì vậy, đội ứng cứu sự cố cần có sự chuẩn bị tốt nhất
để đối phó với các sự cố có thể xảy đến trong tương lai.

24


25

Tiểu kết Chương 1
Nhiệm vụ của an tồn thơng tin là làm cho hệ thống ln được an tồn
trước các cuộc tấn công mạng. Tuy nhiên, ngay cả trong trường hợp hệ thống
đã bị xâm nhập, nếu chúng ta có thể phát hiện sớm thì sẽ giảm thiểu được tối
đa các thiệt hại về chi phí do nó gây ra, hơn là việc phải xử lý những thỏa hiệp
toàn diện lên toàn bộ hệ thống CNTT khi mọi thứ đã quá muộn. Lúc này truy
tìm các mối đe dọa an ninh thơng tin có thể được xem như là tuyến phòng thủ
cuối cùng mà chúng ta cần phải chủ động thực hiện, sau khi những biện pháp
ngăn chặn trước đó đã bị thất bại.

25